"Quando bateu, corremos para nossa sala de servidores e data center e começamos a retirar os plugues." Como uma empresa foi atingida por ransomware, mas se recusou a pagar.

Tudo começou como uma quinta-feira normal para Tony Mendoza, diretor sênior de TI da Spectra Logic, uma empresa de armazenamento de dados com sede em Boulder, Colorado. E então o ataque de ransomware começou.

"Recebemos algumas notificações de algumas falhas de sistema e rapidamente se transformou em uma série de falhas de sistemas não relacionados, o que é realmente anormal", disse Mendoza. Ele percebeu que a empresa estava sob ataque - e que seus arquivos estavam sendo criptografados.

“Quando ocorreu, corremos para nossa sala de servidores e data center e começamos a retirar os plugues para que não pudesse se propagar - o que derrubou toda a nossa infraestrutura”, diz ele.

No total, três quartos do ambiente de produção foram comprometidos com ransomware. Os hackers deixaram uma nota de resgate exigindo o pagamento de $ 3,6 milhões em bitcoin em troca da chave de descriptografia.

“Descobrir o que era foi bastante simples, porque eles dizem quem são e para onde enviar o dinheiro. Era o NetWalker porque estava escrito na carta de ransomware”, explica Mendoza.

Outro problema: o ataque aconteceu em maio de 2020, quando muitos funcionários tinham acabado de começar a trabalhar remotamente por causa do surto de COVID-19 , então não havia como comunicar facilmente o que estava acontecendo fora do prédio.

Apesar disso, a equipe de TI teve que avaliar os danos causados ​​e quais eram as opções para obter os dados de volta - se isso seria possível. Havia alguma esperança - a empresa tinha backups, que eram separados do resto da rede e protegidos do incidente.

“Ainda estamos sob ataque, ainda estamos tentando estancar o sangramento, ainda não sabemos qual foi a extensão do dano - mas sabíamos que tínhamos dados para trabalhar”, diz Mendoza.

Cada organização que é vítima de um ataque de ransomware, em última análise, tem que enfrentar uma grande questão - elas cedem ao pedido de resgate para recuperar seus dados?

Empresas de segurança cibernética e agências de aplicação da lei em todo o mundo argumentam contra ceder à extorsão em torno de ataques de ransomware , porque não apenas entrega centenas de milhares ou até milhões de dólares em bitcoin para criminosos, mas prova que os ataques funcionam, o que incentiva os atacantes de ransomware a continue com as campanhas.

No entanto, algumas vítimas sentem que não têm escolha e vão pagar o resgate , percebendo que é a maneira mais rápida e fácil de obter seus dados de volta e a rede voltar a funcionar - embora isso não seja sem problemas . Há casos em que os invasores pegaram o dinheiro e fugiram ou pegaram o resgate e simplesmente retornaram com um segundo ataque .

A Spectra Logic tinha seguro cibernético , que poderia potencialmente cobrir o custo do pagamento do resgate. Essa pode ter sido a decisão mais simples de curto prazo para restaurar a rede, mas foi rapidamente decidido que, com os backups ainda disponíveis, a Spectra Logic não cederia ao pedido de resgate.

Portanto, em vez de se comunicar com os criminosos cibernéticos, Mendoza contatou o FBI.

"Passei do pânico a ser tranquilizado por eles que já tinham visto isso antes, não estamos sozinhos e eles vão colocar ferramentas no lugar para começar a nos proteger. Isso foi o mais importante, conseguir protegido ", explicou.

O FBI também designou uma equipe especializada para ajudar a Spectra Logic a lidar com as consequências imediatas do ataque ao longo dos dias que se seguiram.

Tentar restaurar a rede acabou sendo um trabalho 24 horas por dia, 7 dias por semana para a pequena equipe ao longo da semana seguinte. Na maior parte desse tempo, as pessoas dormiam no escritório para ter o máximo de tempo possível para se concentrar na restauração da rede.

“Desde a manhã de quinta-feira, passamos 24 horas todos os dias durante os cinco dias seguintes trabalhando nisso - dormíamos em turnos. Três de nós trabalharíamos durante a noite, enquanto duas pessoas dormiam por algumas horas”, disse Mendoza.

"Não havia como sair e voltar, era ir dormir no sofá para o caso de precisarmos de você. Foram cinco dias de mãos dadas no convés."

Além disso, ele precisava fornecer ao conselho atualizações sobre a situação em andamento. Eles queriam respostas sobre quando a rede seria restaurada e quando os negócios voltariam ao normal.

"Estou lidando com liderança na empresa e não quero mentir para eles e dizer que sei quando isso vai acabar - eu tive que dizer a eles que não sei o que está acontecendo ou quando os sistemas estarão funcionando ," ele diz.

Demorou dias de trabalho ininterrupto, mas finalmente o departamento de TI, com a ajuda de especialistas em segurança cibernética, conseguiu restaurar algumas funcionalidades da rede uma semana após o ataque de ransomware, sem pagar aos invasores.

“Nossa equipe de segurança cibernética nos forneceu experiência e ferramentas, monitoramento e registro para eliminar a ameaça de nosso sistema. Na segunda-feira de manhã, eles nos deram luz verde; está feito, eles pararam e removeram”, lembra Mendoza.

“O FBI nos disse que estávamos indo pelo caminho difícil, mas pelo caminho certo - e acabou sendo o caminho mais fácil quando voltamos e dissemos que estávamos de volta oito dias depois; foi chocante para eles”, acrescentou.

Mas isso não significa que tudo voltou ao normal imediatamente - demorou mais semanas para trazer de volta os sistemas que não eram essenciais para o negócio e, durante todo esse tempo, atenção cuidadosa foi necessária apenas para garantir que os invasores não tivessem conseguido para espalhar o ransomware novamente, o que significava monitorar constantemente todas as atividades na rede por mais um mês.

Muitos ataques de ransomware nunca se tornaram de conhecimento público, e exemplos de empresas que entram em detalhes sobre o que aconteceu ainda são poucos.

Mas Mendoza diz que é importante ser transparente ao lidar com um ataque de ransomware, porque é importante mostrar que é possível se recuperar de um ataque sem encher os bolsos dos criminosos cibernéticos.

"O que percebemos foi que protegíamos nossos dados e que há uma maneira de impedir o ransomware. Não conseguimos encontrar informações públicas quando procurávamos por elas, então queríamos torná-las uma coisa comum, que é normal falar sobre ser afetado por ransomware ", disse ele.

Então, qual é a lição principal que Mendoza diria que outras organizações precisam tirar da experiência da Spectra Logic? É fazer backup de seus sistemas - e fazê-lo offline - então, se o pior acontecer e a organização cair, você ainda terá backups offline.

"Você tem que limitar o raio de explosão de seu ataque. Faça backup de seus dados em vários locais em vários meios e a chave é colocá-los em um espaço de ar. Seja um espaço físico ou virtual, você precisa colocar um parede entre um ataque e seus dados ", disse ele.

E como a empresa acabou sendo vítima de um ataque de ransomware em primeiro lugar? A análise do incidente revelou que um e-mail de phishing enviado a um funcionário que trabalhava em casa foi como os hackers obtiveram seu acesso inicial à rede.

Após o ataque de ransomware, a Spectra Logic trabalhou para melhorar sua cultura de segurança cibernética, tanto no local quanto para funcionários remotos, em um esforço para aprender com o incidente. A empresa agora está procurando ativamente por ameaças potenciais à segurança cibernética que podem ter passado despercebidas.

“Inicialmente após o ataque, quando as feridas estavam recentes, conversamos sobre segurança. Seis meses depois, ainda estamos preocupados com a segurança e estamos mais atentos aos ataques de phishing. Éramos meio complacentes antes”, diz ele: agora a equipe irá notificá-lo se um e-mail de phishing não for detectado pelo sistema de malware. "Há mais consciência agora."

Fonte: ZDNet